Файл: Анализ и оценка средств реализации объектно-ориентированного подхода к проектированию экономической информационной системы ( ООО «ИНТЕК+» ).pdf

ВВЕДЕНИЕ

Актуальность представленной темы заключается в том, что на сегодняшний день ни одна сфера деятельности человека не может существовать без средств вычислительной техники и телекоммуникационных технологий. Информационными технологиями предлагаются все более совершенные сервисы. Интернет позволяет пользоваться электронными платежными системами, персональными финансовыми порталами, а также электронными биржами. По причине бурного развития информационных технологий постоянно усложняются задачи обеспечения информационной безопасности (ИБ).

Объектом исследования выступает программное обеспечение на примере ООО «ИНТЕК+».

Предметом исследования является оценка информационной защищенности коммерческого предприятия ООО «ИНТЕК+».

Цель работы: изучить информационную защищенность предприятия ООО «ИНТЕК+».

Задачи ВКР:

1) Рассмотреть основные проблемы, задачи и принципы защиты информации в компьютерных сетях;

2) Провести классификацию угроз программного обеспечения;

3) Изучить основные методы и средства защиты информации в сетях;

4) Разработать информационную систему безопасности корпоративной сети;

5) Модернизировать систему защиты информации в корпоративной сети ООО «ИНТЕК+» для повышения эффективности ее использования.

При написании курсовой работы использовались научные труды следующих авторов: К.В. Балдин, В.А. Гвоздева, В.Н. Гришин, В.А. Каймин, Н.В. Максимов и другие.

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Основные проблемы и задачи защиты информации в компьютерных сетях

Защита информации – это комплекс мер, которые предназначены для безопасного хранения и защиты информации от нежелательных пользователей. Безопасность коммерческих тайн и оборота документов является существенной задачей в защите информации

Объект защиты информации – это «информация или носитель информации или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации».[31]

Цель защиты информации — это «желаемый результат защиты информации». Целью защиты информации быть может предотвращение убытка владельцу, собственнику, пользователю информации в последствии допустимой утечки информации или несанкционированного и непреднамеренного влияния на информацию. [1]

К числу основных проблем защиты информационных данных следует отнести 3 группы проблем [6]:

1) нарушение конфиденциальности информационных данных. Информация, что хранится и обрабатывается в КС, имеет возможность обладать высочайшей ценностью для владельца, а ее использование сторонними лицами нанесет вред интересам владельца;

2) нарушение целостности информационных данных. Утрата целостности информации. Информация, обладающая ценностью, может быть подвержена модификации либо удалению;

3) нарушение доступности информационных данных. Исключение из нормального режима либо сбой в работе КС имеет возможность стать причиной получения неточных данных, отказа КС от потока информационных сведений либо отказа в процессе обслуживания.

Необходимо отметить проблемы, которые появляются в процессе использования программных продуктов при построении системы защиты сети [11]:

1) развернутая область контроля, при которой администратору по безопасности следует выполнять контроль действий пользователей, находящихся за пределами зоны его досягаемости;

2) неизвестный периметр - сеть компании по первому требованию легко и просто может расширяться, что становится причиной возникновения новых методов передачи информации, при этом обнаружить чёткие границы сети становится весьма трудно;

3) трудность в процессе управления и контроля доступа к системе - многочисленные атаки осуществляются без присутствия физического доступа к тому или иному узлу и из удалённого места;

4) огромное количество точек атаки – в процессе передачи данных по сети, информация проходит различные узлы, ПК, маршрутизаторы, модемы, коммутаторы, каждый из которых имеет возможность составлять для нее опасность;

5) использование разных программно-аппаратных комплексов защиты данных — в ходе внедрения разных систем защиты информационных сведений, уязвимость организации имеет тенденцию роста. Согласно обстоятельству несовместности параметров опции систем, может быть, развитие нового несовершенства в системе безопасности;

6) скрытые каналы утечки информационных данных — вероятна передача конфиденциальных данных фирмы по компьютерной сети злоумышленнику в зашифрованной форме либо с защищённого протокола передачи сведений.

Решение проблемы защиты информации основывается существенным способом в применении криптографических методов. Современные способы криптографического переустройства удерживают вторичную производительность автоматизированной организации, что же представляется немаловажным. Это наиболее эффективный способ, который гарантирует конфиденциальность сведений, их единство и достоверность. Применение криптографических методов в совокупности с техническими и организационными мероприятиями дает возможность гарантировать надежную защиту от широкого спектра угроз.

Можно выделить три типа существенных проблем защиты информации при работе в компьютерных сетях: [13]

1) перехватывать информации (надежность гласности информации);

2) трансформация информации (искажение первоначального сообщения или смена иной информацией);

3) замена авторства (похищение информации и нарушение авторского права).

На нынешний день защита компьютерных систем от несанкционированного доступа возможно характеризовать повышением роли программных и криптографических механизмов по сопоставлению с аппаратными. Новые проблемы в области защиты информации призывают к применению протоколов и механизмов с высокой вычислительной сложностью.

На сегодняшний день корпоративные сети всё чаще вливаются в Интернет или же в том числе используют его в качестве своей основы. Для защиты корпоративных информационных сетей используются брандмауэры.

Брандмауэры - это система или же комбинация систем, позволяющая разделить сеть на 2 либо же больше частей и воплотить набор правил, которые устанавливают условия прохождения пакетов из одной части в другую. Как правило, данная граница ведется между локальной сетью компании и сетью Интернет.

Брандмауэр пропускает через себя целый трафик и для всякого проходящего пакета принимает решение - пропускать его либо же откинуть. Для того чтобы брандмауэр обладал возможность принимать данные решения, для него определяется набор правил.

Брандмауэр имеет возможность быть реализован как аппаратными средствами, так и в виде специальной программы, запущенной на компьютере.

Недоступность требуемого числа средств защиты информации на внутреннем рынке долгое время никак не позволяло осуществить в жизнь действия по защите данных важных масштабах. Усиливалась ситуация и отсутствием требуемого числа специалистов в области защиты информации, потому что их подготовка велась с учетом требований особых организаций.

Для заключения названных выше проблем безопасности компьютерной сети на фирмах следует урегулировать следующие задачи:

1) аутентификация одноуровневых объектов, заключающаяся в доказательстве подлинности 1-го либо же нескольких взаимодействующих предметов при обмене уведомлением между ними;

2) контролирование доступа, т. е. защита от несанкционированного использования ресурсов сети;

3) маскировка данных, циркулирующих в сети;

4) контролирование и возобновление единства всех оказавшихся в сети данных;

5) арбитражное обеспечивание, т. е. защита от возможных отказов от фактов отправки, способа либо же содержания отправленных, либо же принятых данных.[29]

Мероприятия, нацеленные на защиту данных включают в себя:

1) Защита информационных данных изнутри корпоративной сети предполагает собой 1 из базовых задач, разрешаемых в процессе построения информационной безопасности в фирмы. С данной целью необходимо выполнить четкое разграничение доступа к информации между работниками фирмы и минимизировать несанкционированный доступ к ней;

2) В процессе построения защиты используются программные решения в области информационной безопасности, позволяющие реализовать настройку политики безопасности в организации, осуществлять централизованное руководство процедурами защиты, группировать ряд механизмов в единый комплекс и выделять различные роли для управления защищаемой системы;

3) Применение криптографических методов;

4) Применение брандмауэров.[28]

1.2. Классификация и содержание угроз программного обеспечения

Под угрозой безопасности понимаются влияния на организацию, что напрямую или негласно имеют все шансы совершить ухудшение ее защищенности.

Источник опасности безопасности информации - человек являющийся прямой причиной происхождения опасности безопасности данных.

Все угрозы можно разделить согласно их источнику и характеру проявления на классы (рисунок 1).

Рисунок 1- Классификация угроз безопасности компьютерных систем

К основным случайным угрозам дозволительно отнести следующее [12]:

- неумышленные поступки приводящие к нарушению нормального функционирования системы, либо ее полной остановке. В эту категорию равным образом относится поломка аппаратных, программных, информационных ресурсов системы;

- неумышленное выключение оборудования;

- неумышленная повреждение носителей информации;

- использование программного обеспечения, способного при неверном использовании привести к нарушению работоспособности системы или к необратимым изменениям в системе;

- эксплуатация программ, которые не нужны во (избежание выполнения должностных обязанностей;

- непреднамеренное инфицирование компьютера вирусами;

- неосторожные поступки влекущие за собой оглашение конфиденциальной информации;

- введение ошибочных данных;

- утрата, трансляция кому-то или оглашение идентификаторов, к которым относятся пароли, ключи шифрования, пропуски, идентификационные карточки;

- построение системы, технологии обработки данных, создание программ с уязвимостями;

- неисполнение политики безопасности или других установленных правил работы с системой;

- устранение или некорректное применение средств защиты персоналом;

- трансакция данных по ошибочному адресу абонента (устройства).

К основным преднамеренным угрозам допускается отнести следующее [31]:

- физическое влияние на систему или отдельные ее компоненты, приводящее к выходу из строя, разрушению, нарушению нормального функционирования;

- остановка или выведение из строя подсистем обеспечения функционирования вычислительных систем;

- поступки по нарушению нормальной работы системы;

- взятка вымогательство и остальные пути воздействия на штат или отдельных пользователей, имеющих определенные полномочия;

- использование подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;

- перехват данных, передаваемых согласно каналам связи, и их изучение с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

- кража носителей информации;

- несанкционированное тиражирование носителей информации;

- кража производственных отходов;

- декламирование остаточной информации из оперативной памяти и с внешних запоминающих устройств;

- прочтение информации из областей оперативной памяти, используемых операционной системой или другими пользователями, в асинхронном режиме используя бедность мультизадачных операционных систем и систем программирования;

- незаконное приобретение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя ("маскарад");